Axborot texnologiyalari, tarmoqlar va telekommunikatsiyalar



Download 5,02 Mb.
Pdf ko'rish
bet130/222
Sana15.11.2022
Hajmi5,02 Mb.
#866857
1   ...   126   127   128   129   130   131   132   133   ...   222
Kalit so‘zlar: 
SQLi, XSS, 
web-ilovalar xavfsizligi, zaifliklar, ma’lumotlar 
xavfsizligi, foydalanuvchi ma’lumotlarini himoya qilish. 
Har qanday web-ilova tarmoqdan keladigan hujumlarga duchor bo‘ladi, bu 
esa maxfiylik, autentifikatsiya, yaxlitlik va xavfsizlik bilan bog‘liq muammolarni 
keltirib chiqaradi. Tajovuzkorlar web-ilovalardagi zaifliklardan ma’lumotlarni 
yo‘qotish va zarar yetkazish maqsadida tizimga kirish uchun foydalanadilar. Shuni 
yodda tutgan holda, web-ilovalarni himoya qilishda birinchi qadam tizimga xavfsiz 


International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND 
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30 
522 
kirishni ta’minlash bo‘lishi kerak [1]. Xavfsiz login siyosati orqali ma’lumotlar 
bazasida 
to‘plangan 
foydalanuvchi 
parollarini 
himoya 
qilish 
bilan 
shug‘ullanadigan zamonaviy web-ilovalarda tobora muhim xavfsizlik muammosi 
hisoblanadi. Foydalanuvchi parolini ochish uchun eng keng tarqalgan hujum SQLi 
(SQL injection) va XSS (Cross-Site Scripting) sifatida tanilgan. XSS hujumi 
asosan skriptlar ko‘rinishida berilgan foydalanuvchi ma’lumotlarini noto‘g‘ri 
tozalash va tekshirish tufayli yuzaga keladi [2]. Cookie-fayllarni o‘g‘irlash yoki 
seansni o‘g‘irlashning eng keng tarqalgan usuli brauzer tomonidan qo‘llab- 
quvvatlanadigan HTML kodlash texnikasi bilan kodlangan JavaScript-ni 
joylashtirishdir. XSS hujumlari uch turga bo‘linadi [3]: aks ettirilgan XSS, 
saqlangan XSS va Document Object Model yoki DOM-ga asoslangan XSS 
hujumi. Xuddi shunday, XSS hujumi raqib nomidan foydalanuvchi imtiyozlari 
bilan operatsiyalarni amalga oshirish uchun foydalanuvchi sirlarini oshkor qilishda 
foydalanuvchi brauzeri tomonidan JavaScript kabi bajariladigan koddan 
foydalanadi. PHP da amalga oshiriladigan odatiy web-ilova 1-rasmda tasvirlangan. 
1-rasm. Odatdagi web-ilova arxitekturasi (PHP tili uchun). 
Masalan, tajovuzkor SQLi hujumi uchun satrlar (masalan, raqamlar, sanalar) 
bo‘lmasligi kerak bo‘lgan o‘zgaruvchilardan foydalanishi mumkin. Bundan 
tashqari, foydalanuvchi parolini aniqlash, mijoz va server o‘rtasidagi aloqani 
ta’minlash uchun HTTPS dan foydalanmaydigan kompyuter, umumiy foydalanish 
mashinalari va boshqalar kabi ishonchsiz mashinalardan foydalanuvchi tizimga 
kirishi orqali amalga oshirilishi mumkin. Ushbu maqolada biz web-ilovaga xavfsiz 
kirish usullari va usullarini ko‘rib chiqdik. Foydalanuvchi hisob ma’lumotlarini, 
ayniqsa parollarni himoya qilishning ahamiyati, web dasturchilar va dastur 
arxitektorlari(software architect) uchun qiyinchilik tug‘diradi. Ularni mavjud 
vositalarning ijobiy va salbiy tomonlariga yaqinlashtirish uchun ushbu bo‘limda 
foydalanuvchi ma’lumotlarini himoya qilish uchun mavjud usullar, texnikalar va 
mexanizmlarni tahlil qilish mezonlarini aniqlashga harakat qilamiz. Ma’lumotlar 
bazasiga asoslangan web-ilovalarda foydalanuvchi ma’lumotlarini himoya qilish, 
bunday tizimda tegishli xavfsizlik darajasiga erishish uchun zarurdir. 
A.
Ushbu yondashuvdan foydalangan holda, parol shifrlangan yoki xeshlangan 
bo‘lishidan qat’i nazar, xizmatga kirish uchun tarmoq trafigida mavjud bo‘ladi, 
garchi ular ma’lumotlar bazasida saqlangan bo‘lsada, agar MD5 va SHA-128 
kabi zaif algoritmlardan foydalanilsa, tajovuzkorlar qo‘pol kuch hujumi orqali 


International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND 
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30 
523 
parolni oddiy matnda qaytarib olish imkoniyatiga ega bo‘ladilar. Bundan 
tashqari, DES, RC4 va Blowfish kabi shifrlash usullari shifrlash uchun 
ishlatiladigan zaif kalitlarning tabiati tufayli zaif ekanligi isbotlangan. 
Texnologiyaning rivojlanishi bilan murakkab hujumlar qo‘pol kuch hujumlari 
uchun GPU chiplaridan foydalanadi, shuningdek, bunday tizim o‘ta xavfli 
bo‘lib qolgan resurslarni ijaraga olish imkoniyatidan foydalanadi [4]. 
B.
Bir tomonlama shifrlash va xeshlash yondashuvini kengaytirish va yangi 
xususiyatni qo‘shish foydalanuvchi hisob ma’lumotlarining xavfsizlik 
darajasini oshiradi. Ushbu kengaytmalar bir martalik parollarni (OTP) joriy 
etishda aks ettirilgan. Ular faqat bitta kirish seansi yoki tranzaksiya uchun amal 
qiladi [5]. Ushbu tizimning afzalligi shundaki, algoritm har bir 
foydalanuvchining tokenidan farq qiladi, bu esa tajovuzkorlar tomonidan 
algoritmni buzishning oldini oladi. Xuddi shunday, ikki faktorli 
autentifikatsiyadan foydalangan holda tashkilot mavjud autentifikatsiya 
tizimidagi minimal o‘zgarishlar bilan tizimning xavfsizlik darajasini osongina 
oshirishi mumkin. Shunday qilib, tajovuzkorlar maqsadga erishish uchun 
qiyinroq qadamga duch kelishadi [6]. 
C.
Anis web-ilovalarga hujumning oldini olishga qaratilgan xavfsizlik siyosatidan 
foydalanishni taklif qildi va natijada foydalanuvchi hisob ma’lumotlarining 
oshkor etilishini oldini oldi [7]. 
D.
Segmentlangan himoya bilan foydalanuvchi hisob ma’lumotlarini himoya 
qilish kuchli xesh algoritmlari yordamida parolni shifrlash va uni tasodifiy 
yaratilgan tuz qiymatlari bilan o‘rashga asoslanganp [8]. 
Xeshlash funksiyalaridan foydalangan holda parolni himoyalashni baholash 
uchun biz maʼlumotlar bazasini boshqarishning mashhur vositasi bo ʻlgan 
phpMyAdmindan foydalanishni tanladik. Ushbu vosita parolni saqlash 
mexanizmlarini va SHA-256, MD5 va BCrypt kabi turli xil parollarni xeshlash 
funksiyalaridan foydalanishni amalga oshiradi. Qaysi usuldan foydalanilmasin, 
parolni ochish vaqt masalasidir. 
Xavfni minimallashtirish va hujumning oldini olish maqsadida SANS 
instituti parolni xeshlash uchun 512 ostidagi SHA xeshlash mexanizmidan 
foydalanmaslikni tavsiya qiladi, chunki ular tezkor xeshdir. 
Yuqorida aytib o‘tilganidek, autentifikatsiya - bu shaxsni tekshirish jarayoni. 
Noyob identifikator foydalanuvchi nomi yoki foydalanuvchi identifikatori bo‘lgan 
foydalanuvchi bilan bog‘langan. An’anaga ko‘ra, foydalanuvchini autentifikatsiya 
qilish uchun foydalanuvchi nomi va parol kombinatsiyasidan foydalanamiz. 
Autentifikatsiya mantig‘i mahalliy darajada saqlanishi kerak, shuning uchun biz 
uni mahalliy autentifikatsiya deb ataymiz. Mahalliy autentifikatsiyadan tashqari, 
biz OpenID, Oauth va SAML dan ham autentifikatsiya provayderlari sifatida 
foydalanishimiz mumkin. Quyida ushbu provayderlar bosqichma – bosqich 
keltirilgan: 
1.
Mahalliy autentifikatsiya- autentifikatsiya qilishning eng keng tarqalgan 
usuli bu foydalanuvchi nomi va paroldan foydalanish hisoblanadi. 


International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND 
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30 
524 
2.
OpenID - bu autentifikatsiya protokoli bo‘lib, u bizga mahalliy 
autentifikatsiya tizimidan foydalanmasdan foydalanuvchilarni autentifikatsiya 
qilish imkonini beradi. 
3.
OAuth - bu bizning ilova foydalanuvchimizga provayderga kirish imkonini 
beruvchi avtorizatsiya mexanizmi. 
4.
Ko‘p faktorli autentifikatsiya- Foydalanuvchilarga odatda turli veb-saytlar 
uchun turli xil parollarga ega bo‘lishlari yoki shaxsiy ma’lumotlarini himoya qilish 
uchun parol menejerlaridan foydalanishni tavsiya etadi. 
Xulosa 
Ushbu sohadagi keyingi tadqiqotlar web-ilovalarga kirish uchun 
ishlatiladigan ma’lumotlar bazalarida saqlanadigan parolni ko‘paytirishi mumkin 
bo‘lgan yangi yondashuvlar va usullarni aniqlashga olib kelishi mumkin. Misol 
uchun, turli xil xeshlash va shifrlash usullarini ko‘p qavatli bezovtalanish va tuz 
qiymatlarini qo‘llash kombinatsiyasi bilan baholash bo‘yicha kengroq tadqiqot 
foydalanuvchi hisob ma’lumotlarini himoya qilishning potentsial yangi 
yo‘nalishlarini aniqlashi mumkin. 

Download 5,02 Mb.

Do'stlaringiz bilan baham:
1   ...   126   127   128   129   130   131   132   133   ...   222




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish